Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Управление информационными рисками Оценка и обработка рисков (BS ISO/IEC 27002:2005 RU, раздел 4)
Protectiva Compliance Manager
Навигация
 

Оценка и обработка рисков (BS ISO/IEC 27002:2005 RU, раздел 4)

Операции с документом
Оценка рисков безопасности, Обработка рисков безопасности.

Оценка рисков безопасности

Оценки рисков должны идентифицировать, измерять и приоритезировать риски в соответствии с критериями принятия рисков и целями организации. Результаты должны определять и направлять необходимые действия руководства, а также приоритеты для управления рисками информационной безопасности и внедрения механизмов контроля, выбранных для защиты от этих рисков. Для охвата различных частей организации или отдельных информационных систем, может потребоваться выполнять процесс оценки рисков и выбора механизмов контроля несколько раз.

Оценка рисков должна включать в себя систематический подход к вычислению величины рисков (анализ рисков) и процесс сравнения величины рисков с установленными критериями для определения значимости рисков (оценивание рисков).

Оценки рисков также должны проводиться периодически с целью учета изменений в требованиях безопасности и в ситуации с рисками, например, в ресурсах,  угрозах, уязвимостях, последствиях, оценивании рисков, а также когда происходят другие существенные изменения. Эти оценки рисков должны проводиться на методологической основе, позволяющей получать сравнимые и воспроизводимые результаты.

Оценка рисков информационной безопасности, чтобы быть эффективной, должна иметь четко определенную область действия и должна включать в себя, если необходимо, взаимосвязи с оценками рисков в других областях.

Областью оценки рисков может являться вся организация, части организации, отдельная информационная система, компоненты системы или сервисы, там, где это оправдано, практично и полезно. Примеры методологии оценки рисков обсуждаются в ISO/IEC TR 13335-3 (Руководство по управлению безопасностью ИТ: Методы управления безопасностью ИТ).

Обработка рисков безопасности

Прежде, чем переходить к обработке рисков, организация должна принять решение о критериях для определения того, может ли риск быть принят или нет. Риски могут быть приняты, если, например, уровень риска оценивается как низкий или стоимость его обработки для организации является экономически неоправданной. Эти решения должны быть документированы.

Для всех рисков, идентифицированных в ходе оценки рисков, должны быть приняты решения по обработке рисков. Возможные способы обработки рисков включают в себя:

  • применение подходящих механизмов контроля для уменьшения рисков;
  • сознательное и объективное принятие рисков, если они полностью удовлетворяют политике организации и критериям принятия рисков;
  • избежание рисков, путем недопущения действий, которые могут привести к возникновению рисков;
  • передача рисков другой стороне, например, страховщикам или поставщикам.

Для тех рисков, в отношении которых было принято решение по обработке рисков путем применения соответствующих механизмов контроля, эти механизмы контроля должны быть выбраны и внедрены для выполнения требований, идентифицированных в ходе оценки рисков. Механизмы контроля должны гарантировать, что риски будут уменьшены до приемлемого уровня, принимая во внимание:

  • требования и ограничения национального и международного законодательства и нормативной базы;
  • цели организации;
  • эксплуатационные требования и ограничения;
  • стоимость внедрения и эксплуатации по отношению к уменьшаемым и остающимся рискам, пропорционально требованиям и ограничениям организации;
  • необходимость балансировать инвестиции во внедрение и эксплуатацию механизмов контроля с величиной ущерба, к которому могут привести нарушения безопасности.

Механизмы контроля могут быть выбраны из этого стандарта или из других наборов механизмов контроля. Также могут быть разработаны новые механизмы контроля для удовлетворения специфическим потребностям организации. Необходимо осознавать, что некоторые механизмы контроля могут быть неприменимы для каждой информационной системы или окружения и могут быть практически невыполнимы для некоторых организаций. Например, 10.1.3 описывает, как могут быть разграничены обязанности для предотвращения мошенничества или ошибки. У небольших организаций может не быть возможности разграничить все обязанности, и для достижения той же цели контроля может потребоваться применение других методов. В качестве другого примера, 10.10 описывает, как может осуществляться мониторинг системы и сбор свидетельств. Описанные механизмы контроля, например, регистрация событий, могут вступать в противоречие с действующим законодательством, таким как защита персональных данных клиентов или сотрудников.

Механизмы контроля информационной безопасности должны рассматриваться на стадии разработки системных и проектных требований, а также на стадии проектирования. Невыполнение этого условия, может привести к дополнительным расходам и менее эффективным решениям и, возможно, в худшем случае, невозможности достигнуть адекватного уровня безопасности.

Необходимо понимать, что любой набор механизмов контроля не позволяет достичь абсолютной безопасности, и что со стороны руководства должны выполняться дополнительные действия для мониторинга, оценки и совершенствования продуктивности и эффективности механизмов контроля безопасности для достижения целей организации.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex